Waar IT en Cyber Security bij veel ondernemingen al jarenlang een prominente plek op de agenda hebben, blijft OT Cyber Security vaak achter. Wat er in de fabriek gebeurt, is nu eenmaal minder in beeld dan je beeldscherm op kantoor. Maar met NIS2 in het vooruitzicht, maken ondernemingen nu grote stappen in het op orde brengen van hun OT Cyber Security. Onze specialist in OT Cyber Security Ard Roelvink legt uit waarom dat zo belangrijk is: ‘Kritische bedrijven zijn van essentieel belang voor de maatschappij. Dat vraagt om een uitgekiend deurbeleid in je procesomgeving, ook digitaal.’

Wat maakt Cyber Security voor OT anders dan voor IT?

‘Met de IT-omgeving heb je meestal rechtstreeks te maken en het netwerk is goed zichtbaar en benaderbaar. De cloud is altijd bereikbaar om wat aan te passen en nieuwe software is snel geïmplementeerd. Bij OT is dat zeker niet het geval. De fabrieksvloer of procesruimte is een compleet andere omgeving, met regelsystemen die verschillen en soms verouderd zijn, kabels waarvan niet altijd bekend is hoe ze precies lopen en PLC’s die verstopt zijn, gebruikmaken van een niet courant besturingssysteem en ga zo maar door. Allemaal zaken die vragen om onderhoud en regelmatige updates, net als je kantoornetwerk, maar minder in het zicht. Dat levert soms flink wat puzzelwerk op.’

De werkvloer is minder zichtbaar?

‘De industriële omgeving is inderdaad een heel andere plek, de processen bevinden zich vaak letterlijk op een andere locatie dan het hoofdkantoor. Dat kan ook betekenen dat een update nog wel eens wordt vergeten, of dat na verloop van tijd niet meer duidelijk is waar onderdelen aan vervanging toe zijn. Zo lang er niets mis gaat en de productie doordraait, is er niets aan de hand toch? En de boel stilleggen voor een update of onderhoud kost tijd, wat je weer terugziet in de cijfers. Ook is er risico op verstoring van het proces.

'Wat je niet ziet, krijgt vaak geen prioriteit. Totdat er iets misgaat, en blijkt dat er geen kennis

meer aanwezig is om het op te lossen.’

Afbeelding: Een veilige, toekomstbestendige en schaalbare IT-en OT-infrastructuur bij SAMGA

En tegelijkertijd staat de technologie niet stil, en hackers ook niet.

‘Dat klopt, en daar komt ook de NIS2 richtlijn vandaan. Het is van groot belang om de deuren dicht te houden voor onbevoegden. Waar je vroeger in de fabriek misschien uit de voeten kon met een draaibank, wordt op een gegeven moment een pracht van een CNC-robot gemonteerd, met toegang tot internet. Maar als je die koppelt aan een oud netwerk, zet je misschien onbedoeld de deur wagenwijd open. Of denk aan schakelkasten bij energieleveranciers of transformatoren van tientallen jaren oud en PLC’s die draaien op een verouderd besturingssysteem, maar wel de liften van een ziekenhuis of druk kruispunt regelen. Dat wil én moet je op orde brengen.’

Moet je dan meteen alles vervangen?

‘Nee, sterker nog, dat kan vaak ook helemaal niet. Maar wat we bijvoorbeeld wel kunnen doen, is een veilige schaal om een verouderd systeem bouwen. Dan kun je binnen een veilige omgeving op gepaste snelheid vernieuwen, zonder dat je onbedoeld meteen allerlei deuren open zet. Veel fabrieken of productielocaties zijn neergezet voor tien, of maximaal vijftien jaar. Als je daar vervolgens langer mee doorgaat, kunnen die processen totaal verouderd zijn. Dat is niet zomaar in één dag opgelost: met een schil er omheen, zorg je er in ieder geval voor dat je de veiligheid garandeert.’

En daarvoor moet je dus ook de werkvloer op.

‘Vaak is belangrijke informatie over de infrastructuur van kabels en systemen wel aanwezig, maar soms ook niet. Dan gaan we letterlijk iedere kabel langs, tot we alles volledig in kaart hebben gebracht. Gelukkig hebben we inmiddels zoveel ervaring opgebouwd, dat we al snel kunnen herkennen waar de knelpunten zitten.’

Om die knelpunten te voorkomen, is het dus zaak dat jullie meteen meekijken, ook bij het bouwen van een nieuwe fabriek of procesomgeving bijvoorbeeld?

‘Zeker, dat heet secure by design of secure by default. Wij hebben bij Batenburg natuurlijk het voordeel dat we ook expert zijn in het bouwen en onderhouden van dit soort complexe omgevingen. Zo kunnen we daar direct bij aansluiten. Daarbij is er, met NIS2 in aantocht, steeds meer aandacht voor het beveiligen van de procesomgeving.’

Die aandacht is belangrijk, juist omdat we met z’n allen van die systemen afhankelijk zijn?

‘OT Security is van groot maatschappelijk belang. Het gaat om energie, drinkwater, infrastructuur en voedsel, alle zaken die primair nodig zijn om onze maatschappij te laten draaien. Zo zijn wij bijvoorbeeld betrokken bij de renovatie van de Afsluitdijk. We kunnen ons allemaal wel indenken hoe belangrijk het is dat die sluizen goed functioneren. En daarbij net zo belangrijk: dat alleen de juiste mensen aan de knoppen kunnen draaien…’

Die veiligheid gaat dus veel verder dan een nieuwe virusscanner.

‘Dat is het mooie van OT, dat vraag om security op allerlei lagen. Net als bij een ui, zorg je dat al die lagen elkaar overlappen. Dat begint met een slagboom, vervolgens komen de hekken met camera’s, persoonsherkenning om het gebouw in te komen en eindigt vervolgens met een stevig slot op een juist beveiligde serverruimte. En dan hebben we software nog niet eens behandeld. Wij houden ons met al die lagen bezig. We brengen er meer aan als het nodig is, zorgen voor onderhoud en regelen dat de updates plaatsvinden. Zo kan de onderneming zich focussen op de eigen business en expertise.’